En ce moment

Logiciels et applications mobiles : le casse-tête de la conformité avec le RGPD

Posté le 12 février 2018
par Philippe RICHARD
dans Informatique et Numérique

Le 25 mai prochain, le RGPD (Règlement Général sur la Protection des Données) entre en vigueur. En renforçant la protection de tous les citoyens européens, il oblige les éditeurs de logiciels à revoir leurs copies… Pas simple.

Même s’il existe déjà tout un arsenal juridique protégeant les données personnelles des consommateurs et des internautes, le RGPD devient un peu plus contraignant. Tout repose sur la définition d’une donnée à caractère personnel. Il s’agit de toute information permettant d’identifier une personne : nom, prénom, date de naissance, numéro de téléphone privé, mais aussi adresse IP, biométrie…

Une acception suffisamment large pour apparaître comme un casse-tête pour les éditeurs de logiciels et d’applications pour smartphone. Le texte européen prévoit notamment que toute personne peut récupérer l’ensemble de ses données personnelles auprès de n’importe quelle entreprise qui en possède.

L’ensemble de ces données doit impérativement être dans un format standard pour respecter l’interopérabilité.

Or, tout le monde n’est pas prêt à être en conformité avec le RGPD validé en 2016 ! Selon une étude de SafeDK, plus de la moitié des applications sur Play Store ne seraient pas conformes au RGPD.  Ce cabinet, spécialisé dans l’utilisation des kits de développement logiciel (SDK) dans les applications mobiles, s’est appuyé sur l’analyse approfondie de centaines de milliers d’applications populaires de Google Play.

La transparence de Microsoft

Bilan ? Plus de la moitié (56 %) des applications ont au moins un SDK qui essaye d’accéder à l’emplacement de l’utilisateur. Deux applications sur cinq ont au moins un SDK qui tente d’obtenir la liste des applications installées sur le dispositif de l’utilisateur, tandis que 29,3 % des applications cherchent à obtenir la liste des contacts de l’utilisateur. Or, les informations personnelles ne sont protégées par aucune option permettant à l’utilisateur d’accorder ou non ce recueil.

SafeDK remarque cependant que l’accès aux données privées des utilisateurs tend à diminuer. Cette évolution positive témoignerait de la volonté d’éditeurs de se préparer à cette nouvelle réglementation. Elle s’explique aussi par la pression de Google qui a jouté de nouvelles règles détaillées sur le Play Store fin 2017.

Elles indiquent que les développeurs doivent « faire preuve de transparence quant à la façon dont vous gérez les informations sur l’utilisateur […] y compris en publiant les méthodes de collecte et de partage de ces informations, ainsi que la façon dont vous les utilisez ». Google insiste : ils doivent « limiter l’utilisation de ces données au cadre ». Reste à savoir si ces nouvelles règles s’appliqueront aussi à Google…

De son côté, Apple prône une approche de type « differential privacy » : les données seraient anonymisées lors de leur traitement. Mais il collectera et traitera des données en lien avec photos, email, contacts, calendar, iCloud Drive. La raison ? l’amélioration de ses produits et services en utilisant, de manière confidentielle, les données des comptes iCloud. Bref, pour conserver une vie privée sous iOS, mieux vaut ne pas utiliser iCloud…

Même constat pour Microsoft qui veut mettre en avant son souci de transparence. Le géant entend assurer que les données qu’il recueille sont utilisées pour améliorer ses produits et non pas pour suivre l’activité de ses utilisateurs…

Début février, l’éditeur a intégré une application permettant de constater les données collectées depuis Windows 10 (via le composant « Connected User Experience and Telemetry »). Cette option existe déjà pour les professionnels. La version « Diagnostic Data Viewer » sera destinée à un usage plus grand public.

Selon ZDNet, la plupart des données de diagnostic appartiennent à l’une des cinq catégories suivantes :

D’autres options permettent de supprimer l’historique de navigation, l’historique de recherche, les données de localisation enregistrées, les données vocales et l’activité de santé .

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires